本申請公開了一種Timestomp類攻擊的檢測方法，包括：獲取文件修改行為前后的目標函數值和文件修改時間；所述目標函數值用于判斷所述文件修改行為是否為文件內容的修改；判斷所述文件修改行為前后的目標函數值是否相同；若是，則判斷所述文件修改行為前后的文件修改時間是否相同；若文件修改行為前后的文件修改時間不相同，則檢測到所述Timestomp類攻擊。該方法能夠有效檢測Timestomp類攻擊事件，及時發現惡意隱藏修改痕跡的行為。本申請同時還提供了一種Timestomp類攻擊的檢測裝置、系統、防護終端和計算機可讀存儲介質，具有上述有益效果。

技術領域

本申請涉及計算機技術領域，特別涉及一種Timestomp類攻擊的檢測方法、裝置、系統、防護終端和計算機可讀存儲介質。

背景技術

Timestomp是一種修改文件時間戳(修改，訪問，創建和更改時間)的技術。該技術可以用在攻擊者修改或創建的文件上，使得它們在取證調查人員或文件分析工具面前更加隱蔽。Timestomp可以與文件名偽裝(Masquerading)結合使用來隱藏惡意軟件和工具。因此，如何有效檢測Timestomp類攻擊是亟待解決的問題。

發明內容

本申請的目的是提供一種Timestomp類攻擊的檢測方法，能夠有效檢測Timestomp類攻擊事件，及時發現惡意隱藏修改痕跡的行為。其具體方案如下：

第一方面，本申請公開了一種Timestomp類攻擊的檢測方法，包括：

獲取文件修改行為前后的目標函數值和文件修改時間；所述目標函數值用于判斷所述文件修改行為是否為文件內容的修改；

判斷所述文件修改行為前后的目標函數值是否相同；

若是，則判斷所述文件修改行為前后的文件修改時間是否相同；若所述文件修改行為前后的文件修改時間不相同，則檢測到所述Timestomp類攻擊。

可選的，所述獲取文件修改行為前后的目標函數值和文件修改時間，包括：

當檢測到所述文件修改行為時，攔截所述文件修改行為，并記錄當前的目標函數值和文件修改時間，得到所述文件修改行為前的目標函數值和文件修改時間；

當記錄結束后，放行所述文件修改行為；

當所述文件修改行為被執行后，記錄所述文件修改行為后的目標函數值和文件修改時間，得到所述文件修改行為后的目標函數值和文件修改時間。

可選的，所述獲取文件修改行為前后的目標函數值和文件修改時間，包括：

獲取所述文件修改行為前后的哈希值和所述文件修改時間，并將所述哈希值作為所述目標函數值。

可選的，在獲取文件修改行為前后的目標函數值和文件修改時間之前，還包括：

接收防護中心下發的檢測指定目錄的配置信息；

根據所述配置信息中的指定目錄，對所述指定目錄下的文件修改行為進行檢測。

可選的，在檢測到所述Timestomp類攻擊之后，還包括：

生成告警數據信息，并將所述告警數據信息發送至所述防護中心，以使所述防護中心根據所述告警數據信息確定所述文件修改行為發生的真實修改時間。

第二方面，本申請公開了一種Timestomp類攻擊的檢測裝置，包括：

獲取模塊，用于獲取文件修改行為前后的目標函數值和文件修改時間；所述目標函數值用于判斷所述文件修改行為是否為文件內容的修改；

第一判斷模塊，用于判斷所述文件修改行為前后的目標函數值是否相同；

第二判斷模塊，用于若是，則判斷所述文件修改行為前后的文件修改時間是否相同；